De Europese Commissie presenteerde dit voorjaar de technologie waarmee ontwikkelaars zulke apps kunnen bouwen. Gebruikers zouden via zo’n app kunnen bewijzen dat zij meerderjarig zijn, zonder hun volledige identiteit te delen. Volgens Brussel is het systeem privacyvriendelijk.

Bij de presentatie stelde de Europese Commissie: “Gebruikers bewijzen hun leeftijd zonder andere informatie te onthullen. Het is volledig anoniem en gebruikers kunnen niet worden getraceerd.”

Juist die belofte staat nu ter discussie. Deskundigen vrezen dat de technische keuzes in de praktijk kunnen bepalen of mensen echt anoniem blijven. Als de strengste privacytechniek niet verplicht wordt, kan alsnog zichtbaar worden wie welke sites bezoekt.

Leeftijdsbewijs zonder identiteit
De privacyvriendelijke variant werkt met de zogenoemde Zero-Knowledge-Proof-methode. Daarmee kan iemand bewijzen dat hij of zij aan een voorwaarde voldoet, zonder extra informatie prijs te geven. In dit geval: wel oud genoeg zijn, maar niet je naam, geboortedatum of volledige identiteit tonen.

Jaap-Henk Hoepman, hoofddocent digitale veiligheid aan de Radboud Universiteit, vergelijkt het met een digitale handtekening. “Hiermee kun je aan websites bewijzen dat je die handtekening hebt, zonder die handtekening te laten zien.”

Dat klinkt veilig. Toch zit daar volgens hem het probleem. De Europese Commissie stelt deze methode niet verplicht. Ontwikkelaars kunnen dus ook kiezen voor minder privacyvriendelijke oplossingen.

“Het is heel jammer dat de Commissie dat niet doet”, zegt Hoepman. “Zolang het een keuze is, zal het voor ontwikkelaars te veel gedoe zijn, waardoor het er waarschijnlijk niet van komt.”

Gevoelige websites
De zorgen zijn groot omdat het gaat om zeer gevoelige online activiteiten. Leeftijdscontrole kan nodig worden bij pornosites, goksites, sociale media of alcoholverkoop. Als gegevens over zulke bezoeken kunnen worden gekoppeld, ontstaat een indringend beeld van iemands privéleven.

Volgens deskundigen kan zonder de strengste methode worden achterhaald wie welke website bezoekt. De partij die de digitale handtekening verwerkt, kan dan samen met websites gegevens aan elkaar koppelen. Zo kan zichtbaar worden hoe iemand zich online gedraagt.

Hoepman waarschuwt voor dat risico. “Dan zet je in theorie de deur open voor het monitoren van menselijk gedrag”, zegt hij.

Daarmee raakt de discussie aan een bredere vraag. Bescherming van kinderen is een belangrijk doel. Maar de technische uitwerking kan tegelijk leiden tot nieuwe vormen van controle over volwassenen.

Commissie noemt ZKP standaard
De vertegenwoordiging van de Europese Commissie in Den Haag zegt dat de privacyvriendelijke ZKP-methode wel de standaardwerkwijze is. Toch blijven uitzonderingen mogelijk. Volgens de Commissie kan dat nodig zijn als oudere telefoons de methode niet ondersteunen.

Daarom wil Brussel ontwikkelaars een uitwijkmogelijkheid geven bij technische problemen. Critici vinden juist dat dit de zwakke plek is. Als privacy alleen een aanbeveling is, bestaat het risico dat de makkelijkere route wordt gekozen.

Ook Dibran Mulder, directeur van Yivi, maakt zich zorgen. Yivi ontwikkelde zelf een privacyvriendelijke ID-app waarmee gebruikers veilig kunnen inloggen. Volgens Mulder mag er bij dit soort toepassingen geen enkele twijfel bestaan.

“Het mag niet eens de schijn hebben dat privacy kan worden geschonden, want het gaat hier om heel gevoelige zaken.”

“Experimentele functie”
Mulder wijst op de technische specificaties die Brussel heeft opgesteld voor appbouwers. Daarin wordt de Zero-Knowledge-Proof-methode volgens hem niet hard verplicht. De methode wordt genoemd als “experimentele functie”. Ook staat erin dat de techniek kan “worden overwogen om bescherming te bieden”.

Voor privacydeskundigen is dat te zwak. Juist omdat de toepassing gaat over gevoelige sites, zou de strengste privacyvorm volgens hen niet optioneel moeten zijn. Wie leeftijdscontrole wil invoeren, moet volgens hen zorgen dat er geen centrale partij ontstaat die online gedrag kan volgen.

De discussie gaat dus niet alleen over techniek. Het gaat ook over vertrouwen. Gebruikers moeten zeker weten dat hun bezoek aan een gevoelige website niet in een databestand belandt.

Tussen anonimiteit en betrouwbaarheid
Toch is volledige anonimiteit moeilijk te combineren met betrouwbare leeftijdscontrole. Dat zegt Thijs van Ede, docent cybersecurity aan de Universiteit Twente. Volgens hem kan anonimiteit alleen volledig worden gegarandeerd als iemand zelf een digitale handtekening uitgeeft en direct met de website communiceert.

Maar dan ontstaat een ander probleem. Zonder onafhankelijke partij is moeilijk te controleren of iemand de waarheid spreekt over zijn leeftijd. “Maar zonder de controle van die tussenpartij is het maar de vraag of je de waarheid spreekt. Dat doet afbreuk aan de betrouwbaarheid.”

Daarmee staat Brussel voor een lastige keuze. Hoe sterker de controle, hoe groter het risico op privacyproblemen. Hoe sterker de anonimiteit, hoe moeilijker het wordt om misbruik te voorkomen.

Nog onduidelijk wat Nederland doet
De Europese Commissie bouwt zelf geen app voor burgers. De technologie moet worden verwerkt in apps die landen of bedrijven ontwikkelen. Brussel wil dat in de eerste landen voor het einde van het jaar zulke apps te downloaden zijn.

Het is nog niet duidelijk of Nederland zelf een leeftijdscontrole-app gaat maken. Voor overheidszaken bestaat al DigiD. Daarnaast wordt gewerkt aan een nationale NL ID-wallet, waarmee burgers online hun identiteit kunnen bewijzen. Of leeftijdscontrole daar onderdeel van wordt, is nog onzeker.

Ook bedrijven kunnen de Europese technologie verwerken in hun eigen apps. Als Nederland geen eigen app maakt, kunnen gebruikers mogelijk alsnog kiezen voor apps van aanbieders als Yivi of Itsme.